諸刃の剣になるVPNサービス
VPNを魔法の箱や魔法のランプのように考えていないだろうか?まるで、中国共産党の悪夢を取り払ってくれるまじない師のように。しかし、選択を誤るととんでもない災難が自分に降りかかる。VPNの危険性-零細VPNサービスのお話。
相次いで摘発される中国向けサーバ
ここ最近、注目されているのが中国向けのサーバ業者の摘発だ。この手の問題は昔からあったのだが、中国共産党の検閲規制強化にともなって質が変わってきているようだ。
不正アクセス禁止法違反容疑で昨年、警視庁が摘発した東京都内の「プロキシ(代理)サーバー」業者の中継サーバーに約506万人分のIDとパスワードなどの個人情報が保存されていた問題で、このIDなどを使い大手通販サイトなど3社に接続した形跡があったことが17日、警視庁サイバー犯罪対策課の調べで分かった。
506万人分の情報が流出した経路は不明で、中には氏名、生年月日、クレジットカード番号が含まれるものもあった。日本のほかアメリカ、韓国、台湾の個人情報も含まれている。
以前は日本のオンラインゲームにログインや代理プレーなどをするために使われていた。代理プレーなどがお金になることからRMT(リアルマネートレード:ゲーム中のお金やアイテムなどを実際のお金で売買すること)へと形を変え、今回は代理業者として復活したようだ。
主に踏み台として使われており、日本だけではなく韓国やアメリカが標的になるケースも見られる。
国内に設置された中国向けの「中継サーバー」が不正接続などに悪用されていた事件で、警視庁が東京都内で押収したサーバーから、韓国のインターネットバンキング利用者を狙ったフィッシングサイトが見つかっていたことが捜査関係者への取材で分かった。サーバーには韓国人とみられる約300人分のIDやパスワードも残っており、不正送金に悪用された可能性がある。
インターネット上のアクセスは盗み見が可能
インターネットはよくバケツリレーと例えられる。
小規模・大規模なネットワークが複雑に組み合わさって、グローバルなネットワークを構成している。もともと、インターネットは政府機関や学術機関など善意の利用者を前提としたものだった。しかし、参加するネットワークや利用者が増えるにつれてモラルの問題が持ち上がってきた。特に深刻なのは、バケツリレー中にバケツの中を見られたらどうするか?という問題だ。
以前に「FreeWifiが自殺行為である3つの理由と効果的な防衛策」を投稿しているが、これ自体はインターネットの誕生からある問題で、最近でも学識経験者がネット上で提起する記事も見られる。
成田、関西、神戸の3空港が提供する無料の公衆無線LANサービスでインターネットを利用した場合、送信したメールの宛先や中身、閲覧中のウェブサイトのURLを他人がのぞき見できる状態になることが26日、神戸大大学院の森井昌克教授(情報通信工学)の実地調査で確認された。無線LANを暗号化すればのぞき見を防止できるが、パスワードの入力などが必要となり、3空港は利便性を考慮し暗号化していないという。
森井教授は「利用者はリスクがあることを理解し、クレジットカード番号など大事な情報のやりとりは避けるべきだ」と話している。
今回はプロキシサーバと呼ばれる中継サーバを経由で不正アクセスが行われているが、プロキシサーバやVPNの運営元と言うのはインターネット上のアクセスを見ることができるので、容易に改ざんができる。
たとえば、銀行のサイトへアクセスしたつもりが、実は瓜二つの偽サイトにアクセスしているかもしれないのだ。
仕組みは非常にかんたん。
- 不正なVPN業者のサーバにアクセス
- 銀行やネットショップのアドレスを入力し、サイトへアクセス。本来は正規のサイトが現れるのだが、不正な業者にページがすり替えられている
- IDやパスワード、取引暗証番号、クレジットカード番号などをユーザに入力させたあと、正規のサイトへ転送
- ユーザが正規のサイトにアクセス
ユーザからみると、1度入れなおしを求められたものの、正規のサイトへアクセスしているように感じる。だが、実際には不正な業者にデータを抜き取られているのである。
無料VPNや格安VPNなどと称してカモを引き寄せて、ガブっと食べていく底引き網漁のような集団は、ネット上にゴロゴロしている。身元不明のVPNサービスを使うということは、「安物買いの銭失い」と同類なのだ。
自己防衛のための対策
このような不正なデータ抜き取り、盗み見を防ぐためにユーザがやるべきことは3つ。
- セキュリティソフトを使うこと
- サイトをアクセスしたらアクセス先を確かめること
- 正規のVPN業者を選ぶこと
1つずつ見ていこう。
1.セキュリティソフトを使うこと
セキュリティソフトは、怪しい動きやフィッシングサイト(偽サイト)への警告機能が搭載されている。
フィッシングサイトは、他の方法と合わせてユーザを騙すので、その手口をある程度まで分析してくれる。無料のセキュリティソフトでも搭載しているものがあるので、ぜひ導入しておきたい。
最近はフィッシングサイトやウイルス対策として、サービス提供側が無料ソフトを提供するケースが多い。たとえば、東京三菱UFJ銀行ではRapport(ラポート)と呼ばれるウイルス対策ソフトを配布している。
ちなみに、同ソフトはIBM謹製である。類似ソフトはSymantec(シマンテック)やトレンドマイクロのウイルスバスターなどあるので、好みで使えばいいだろう。
2.サイトをアクセスしたらアクセス先を確かめること
サイトをアクセスしたら、必ずそのサイトが正しいサイトかどうかを確認すること。
FireFoxは、セキュリティ認証を受けたサイトを表示するとアドレスバーが緑色に光る。さらに、そこから認証情報を得られるので細かく確認ができる。お金のやりとりが発生する場面では、まずはアクセス先が正しいか見てから、IDとパスワードを入力するようにしたい。
画面向かって左側にあるのが認証情報だ。また、FireFoxの場合、Flagfoxというアドオンがあり、アクセスしたサイトの国を表示してくれる。画面の東京三菱UFJ銀行であれば、日本の銀行なのに中国や韓国の旗が見えたら、それはフィッシングサイトかもしれない。
3.正規のVPN業者を選ぶこと
最後に、正規のVPN業者を選ぶことだ。安全のためのVPNサービスなので、ここを間違えてしまうと意味がなくなる。大手であれば大手であるほどいい。セキュリティやサポートが手厚いだけではなく、バックボーンなどが太いので利用も快適だ。間違っても会社情報すら出していないところや実績を載せていないような業者を選んではいけない。
VPNサービスの選び方を別記事でまとめているので、こちらを参考にして欲しい。
なお、当サイトでは管理人が中国にいるため、在中の状態を想定した記事が多い。しかし、この安全性の問題は中国に限らない。日本にいる場合でも、パブリックWifiの問題などが潜んでいる。なお、このパブリックWifiの危険性については別記事でまとめているので、こちらをご覧いただきたい。
中国向けについては、下記記事でまとめてある。あわせて読んでいただければ中国でのネット生活も敵なしである。
コメント
EXAMPLEさん
ご指摘ありがとうございます。
HMAに限らずですが、どれを使っても同じ危険性がはらむことは間違いありません。ただ、これを言い出すと、VPSの運用元が何もしていないと言えなくなるので、自宅に回線引いてサーバ立てて自分で運用した上で使うということになりかなり手間です。
どこかで線引をして…たとえば、「中国共産党とその仲間たち」VS「よくわからん業者」VS「アメリカの大手業者」みたいなので割りきってしまっていいと思うのです。
もちろん、大手だからと言ってどこぞの杭データ改ざんのように、まったく安全などという保証はありませんけど。
VPNをいくつか使ってきましたが、ここに書き残しておきます。
金融機関のWebサイトなどEnd-to-Endな暗号化通信を行う場合は、VPNを経由していようがプロキシサーバーを通していようが情報が盗まれることはまずありません。(信用できない接続である場合は除く)それについての通信路が盗聴される危険性はどのサーバーを中継に選んでも変わりません。
信用できるEnd-to-Endな暗号化通信でない場合はどのサーバを経由するにしても、サーバの信用に安全性は託されます。HideMyAssも表面上はアクティビティのログを残さないとは言及していますが、それを保証するものはどこにもありません。
どのVPNを使うにせよ、危険がはらむことを忘れないで下さい。
kojiさん
毎毎コメントありがとうございます。
私も20前後の各種vpn試しましたが、結局HMAで落ち着いています。
華東なら台湾か日本、華北なら韓国、華南なら香港と必ず近場にサーバがあるのが魅力ですね。おまけに、コスパ最強です。
欠点があるとすれば、既に中国にいると他のvpn経由しないとHMAの申し込みができないことくらいでしょうか…(苦笑)
こちらのサイトで推奨しているHide My Ass! Pro VPNを取り敢えず一ヶ月プランで申し込んでみました。
余りのスピードに唯々驚くばかりです。次は年間プランで更新しようと思います。